Facebook condamné: quelles conséquences pour les internautes ?

Le réseau social doit abandonner l’utilisation d’un cookie “espion”. Cela ne l’empêchera pas de continuer à siphonner vos données privées.

Le tribunal de première instance de Bruxelles condamne Facebook à cesser de traquer les internautes qui visitent une page du célèbre réseau social. Cette première mondiale est à mettre à l’actif de la Commission de la vie privée, qui avait introduit une action en référé en juin dernier, contestant les nouvelles conditions d’utilisation du site entrées en vigueur en début d’année.

Cette condamnation de Facebook est assortie d’astreintes fixées à 250.000 euros par jour si le réseau social ne se conforme pas à la décision de la justice bruxelloise. Les astreintes commenceront à courir 48 heures après la signification du jugement, c’est-à-dire dans quelques semaines, celui-ci devant être traduit préalablement en anglais. Facebook a immédiatement annoncé son intention de faire appel du jugement.

Cookie espion

Concrètement, Facebook est invité à abandonner l’utilisation d’un cookie qui permet de traquer les internautes qui ne sont pas membres du réseau social. Ce cookie, appelé datr, se loge dans l’ordinateur des internautes qui consultent une page Facebook. Ceux-ci sont ensuite traqués sur l’ensemble des sites où figure un bouton Facebook. D’après une étude conduite pour le Wall Street Journal en 2011, un tiers des 1.000 sites les plus fréquentés dans le monde possèdent un tel bouton (ou social plug-in), qui permet de partager facilement une information ou de ” liker ” un contenu. Le simple fait de consulter un de ces sites ou une page Facebook active le cookie. Dès ce moment, le réseau social est en mesure de suivre l’activité de l’internaute et de savoir précisément quels sites internet il consulte, quels achats il effectue, etc.

“13 millions de pages Internet sont équipées d’un social plug-in, explique Frédéric Debusseré, avocat chez Timelex et conseil de la Commission de la vie privée dans le cadre de l’action en justice contre Facebook. C’est le nombre massif des sites concernés par le tracking et le contenu potentiellement sensible de ceux-ci en matière de vie privée (possibilité de dévoiler l’orientation sexuelle, politique ou religieuse notamment) qui ont convaincu le juge de condamner Facebook pour l’utilisation de ce cookie.”

Si l’internaute fait partie des 1,5 milliard d’utilisateurs de Facebook, il a signé les conditions d’utilisation de la plateforme et est donc censé être au courant que celle-ci surveille en permanence ses déplacements en ligne et conserve ces données pendant deux ans. Par contre, si l’internaute a résisté aux sirènes de Facebook et n’est pas membre du réseau social, il n’a pas signé lesdites conditions d’utilisation. C’est ce que reproche le tribunal de première instance de Bruxelles à Facebook : les non-membres ne sont pas avertis du fait qu’ils sont “traqués”.

Une question de sécurité ?

Facebook a désormais deux options : soit avertir les non-membres de l’activité de ce cookie, soit désactiver purement et simplement le cookie datr pour les non-membres. C’est probablement vers cette deuxième solution que le réseau social se dirige. Dans un post publié en réaction à la décision du tribunal bruxellois, le chef de la sécurité de Facebook Alex Stamos invite en effet le tribunal à “mesurer les conséquences très concrètes d’une désactivation de ce cookie, qui préserve la vie privée et assure une nécessaire sécurité de l’internaute.”

La position de Facebook est très différente de celle de la commission de la vie privée. Pour le réseau social, ce cookie est indispensable pour préserver la sécurité des internautes qui utilisent et consultent Facebook. “Nous utilisons le cookie datr pour différencier les visites légitimes sur notre site des visites illégitimes”, explique Alex Stamos. En pistant le comportement des internautes, Facebook parvient à distinguer les humains des logiciels malveillants, et préserve ainsi la sécurité de son site.

C’est possible, mais gageons que Facebook, qui dispose de moyens colossaux (12,5 milliards de dollars de chiffre d’affaires en 2014), est capable de mettre en place d’autres mesures de sécurité pour garantir l’intégrité de sa plateforme contre les attaques de hackers. “Le juge a également déclaré que la désactivation du cookie était un jeu d’enfant, et qu’il ne constituait donc pas une mesure de sécurité essentielle pour le réseau social”, pointe l’avocat Frédéric Debusseré.

Moisson de données

Ce qui est sûr, c’est qu’en utilisant ce cookie litigieux, la firme de Mark Zuckerberg récolte des données sur le comportement des internautes. Facebook les utilise-t-il uniquement pour ces fameuses raisons de sécurité ? C’est ce que répond le réseau social. Mais on sait que le business model de l’entreprise repose précisément sur la moisson de données qu’elle réalise de manière permanente.

Facebook emmagasine une multitude d’informations sur les utilisateurs (et les non-utilisateurs ?) : sites consultés, pages “aimées”, centres d’intérêt, cercle d’amis, âge, sexe, localisation… Toutes ces informations servent à profiler l’internaute dans un seul but: vendre ses espaces à des annonceurs qui cherchent à s’adresser de la manière la plus précise possible à leurs consommateurs cibles.

Une victoire à relativiser

La désactivation du cookie datr est certainement une mauvaise nouvelle pour Facebook. Mais il faut relativiser la portée de cette victoire.

Tout d’abord, elle ne concerne que les internautes qui se connectent depuis la Belgique. Même si la décision du tribunal de première instance pourrait inspirer d’autres juridictions européennes, puisqu’elle se base sur la transposition d’une directive.

Deuxième bémol : comme expliqué ci-dessus, la décision ne concerne que les non-utilisateurs de Facebook. Vu la popularité du réseau social et de ses 1,5 milliard d’utilisateurs dans le monde (dont près de 6 millions en Belgique), le champ d’application se restreint.

La guerre judiciaire continue

Cependant, les utilisateurs de Facebook pourraient eux aussi prochainement être concernés. Une autre action en justice a en effet été déposée par la commission de la vie privée. “Cette action au fond a un champ d’application plus large. Elle concerne la qualité du consentement émis par l’internaute lorsqu’il accepte les conditions d’utilisation de Facebook”, explique l’avocat de la commission de la vie privée, Frédéric Debusseré.

Tout le monde en a déjà fait l’expérience: il est difficile, voire impossible, de comprendre tous les tenants et aboutissants des dizaines voire centaines de pages de conditions générales qui sont soumises aux internautes lorsqu’ils rejoignent une plateforme comme Facebook, ou lorsque ces mêmes conditions font l’objet d’une modification. Si l’action aboutit, les pratiques de Facebook pourraient être fondamentalement affectées.

En attendant, le réseau social continue tranquillement de siphonner vos données personnelles. Des données qu’il ne manque pas de faire fructifier auprès des annonceurs. En 2014, chaque utilisateur européen a rapporté en moyenne 11,6 dollars à Facebook.